关于Ibatis 的自动防止SQL 注入

假设用户执行

这条语句。其中5是有用户输入的。

SQL注入的含义就是,一些捣蛋用户输入的不是5,而是

 

5;  delete  from  orders

 

那么原来的SQL语句将会变为,

.

在执行完select后,还将删除orders表里的所有记录。(如果他只删了这些记录,已经谢天谢地了,他可能会做更可怕地事情)。

 

不过庆幸的是,Ibatis使用的是预编译语句(PreparedStatement
s )。

上述语句会被编译为,

从而有效防止SQL注入。

 

不过当你使用$占位符时就要注意了。

例如:动态的选择列和表

这时你一定要仔细过滤那些值以避免SQL注入。当然这种情况不只存在Ibatis中。

 

参考资料:

【iBATIS in Action】 3.5.2 SQL injection

阅读更多
个人分类: JAVA
想对作者说点什么? 我来说一句

spring+struts2+ibats整合流程原理

2013年08月14日 567B 下载

没有更多推荐了,返回首页

不良信息举报

关于Ibatis 的自动防止SQL 注入

最多只允许输入30个字

加入CSDN,享受更精准的内容推荐,与500万程序员共同成长!
关闭
关闭